汉盛法评|数据交易合规系列研究之十四——禁止交易的重要数据探析
在上一篇文章中,我们分析了部分现行规范中关于数据禁止交易或流通的规定,同时也辨析了不同地区对于公共数据的定义和范围,探究了公共数据在交易和流通过程中的限制和标准。本文将从重要数据和核心数据的定义及交易限制出发,分析在现行禁止交易的数据规则下,重要数据交易的要求及标准,供业内人士探讨。
一、重要数据和核心数据 2021年出台的《中华人民共和国数据安全法》提出了国家建立数据分类分级保护制度,各地区、各部门确定重要数据具体目录,并强调对列入的数据进行重点保护。2021年11月14日国家互联网信息办公室公布的《网络数据安全管理条例(征求意见稿)》和2022年2月10日工业和信息化部公布的《工业和信息化领域数据安全管理办法(试行)》(征求意见稿),均对重要数据和核心数据进行定义。随后2022年3月16日《重要数据识别规则》(原《重要数据识别指南》)发布,对重要数据的识别因素列举了a~s共计19项,并以第19项作为兜底条款。 综合以上文件,我们认为重要数据是指,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的,涉及特定领域、特定群体、特定区域或达到一定精度和规模的数据。核心数据是指,一旦被泄露或篡改、损毁,可能严重危害国家安全、经济运行、社会稳定、公共健康和安全的,涉及特定领域、特定群体、特定区域或达到较高精度和较大规模的数据。 《网络数据安全管理条例(征求意见稿)》第五条第二款:“国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。”重要数据作为数据分类中的中间档,其可能交易的范围大于核心数据,与之对应的,其交易受限的程度也是大于一般数据的,所以,相比于核心数据,谈论重要数据的交易限制问题也更具典型。 二、重要数据与国家秘密 前文提及,现行法规、规范性文件及标准中,针对禁止交易的数据,虽然表述不一,但其内核都是统一的,主要是从涉及国家秘密及未获权利人同意的。结合上述重要数据的定义,某种意义上,其与禁止交易的国家秘密是存在交叉部分的。对于国家秘密的范围,《中华人民共和国保守国家秘密法》第九条中存在明确规定,主要是涉及国家事务重大决策、国防建设、外交、国民经济和社会发展、科学技术、国家安全和追查刑事犯罪等事项中的秘密事项属于国家秘密。对于交叉重叠的部分,应当直接定义为国家秘密,由《保密法》进行约束,但是针对交叉范围以外重要数据,可以有条件的交易。 通俗来说,我们所讨论的重要数据的范围不应包含国家秘密,而应是在国家秘密之下的,可能带来重大影响的数据。而如何判断国家秘密及重要数据的交叉范围,这就需要国家保密行政部门与行业主管部门,结合数据重要性及数据特点,制定不同行业的重要数据和核心数据具体目录,并保持动态更新,以保障重要数据交易的有序进行。 三、重要数据的交易问题 现行规范及标准中,明确提及重要数据交易的规定不多,更多的是重要数据的安全保障和评估义务。《天津市数据交易管理暂行办法》第三十四条,仅仅是粗略的规定了数据交易服务机构应当对拟交易数据建立分级保护机制,根据数据的不同级别,为数据供需双方提供不同强度的安全保护技术支持措施,但无具体的明细规定。但在《网络数据安全管理条例(征求意见稿)》第十二条、第三十二条、第三十三条规定了数据处理者在共享、交易、委托处理重要数据的要求。对重要数据处理者的数据处理行为提出了比《数据安全法》更为具体、严格的管理措施,有利于实现重要数据保护的事先防范。同时也将主管审批的范围从数据出境扩大至数据的共享、交易和委托处理,填补了相关监管漏洞,对数据处理安全的管理提出了更为全面的保障制度。 结合上述相关规定,我们认为,重要数据在交易的过程中,应当注意以下几方面限制: 1、前置许可。 因重要数据可能涉及国家安全、经济运行、社会稳定、公共健康和安全等方面,所以数据处理者在交易重要数据前,应当征得主管部门的同意或许可,确有必要或可能涉及国家秘密的,应当经过国家保密行政管理部门的审核,排除国家机密范围后,再进行交易。 2、安全评估 在开展数据交易前,重要数据处理者应当对整个数据交易进行安全评估。包括但不限于:(1)数据接收方处理数据的目的、方式、范围等是否合法、正当、必要;(2)交易数据被泄露、毁损、篡改、滥用的风险,以及对国家安全、经济发展、公共利益带来的风险;(3)数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况;(4)数据接收方在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。 若评估不合格或存在上述风险的,则数据处理者不应进行交易数据。 3、明确约定 重要数据处理者与接收方之间要通过数据交易协议或其他方式,明确约定处理数据的目的、范围、处理方式,数据安全保护措施等,不得超出约定的目的、范围、处理方式处理重要数据。 4、事后监督 重要数据处理者与数据接收方直接完成数据交易后,应当履行监督义务,监督数据接收方是否按照约定使用该重要数据,是否了开展了必要的数据安全保障措施,是否未经允许向第三方转让或授权。 5、记录保存 重要数据处理者交易重要数据的审批记录、日志记录等相关文件,需妥善保存并,应保存至少五年。 相比之于绝对禁止交易的国家机密,相对禁止交易的重要数据,其机密性及重要性略显下降,因此其交易的限制也略显宽松。虽然比之一般数据的自由交易,重要数据的交易需要经过审批、许可、评估等环节,但正因为此,其交易的安全性才能得到保障。但如何清晰划分重要数据的界限,如何进行安全评估、交易合同如何约定、如何进行事后监督,仍是现阶段数据领域需要解决的问题,待日后继续与业内人士探讨。
相关研究
-
11-052020
工程量清单项目特征描述不准确导致的争议及规避措施
工程量清单项目的特征决定了工程实体的实质内容,直接决定了工程实体的自身价值(价格),应予以详细而准确的表述和说明。 -
05-292020
企业赴美上市指南
美国的资本市场是以投资人选择为导向,以注册制为原则,赴美上市成功的关键在于企业的基本面和投资人的认可。 -
10-292020
《民法典》《九民纪要》下合同不成立、无效、被撤销或确定不发生效力的情形和法律后果简析
本文重点参考《<民法典>理解与适用》及《<九民纪要>理解与适用》中的观点,并简析《民法典》《九民纪要》下,合同不成立、无效、被撤销或确定不发生效力的情形和法律后果。 -
02-192020
《治安管理处罚法》五十一条第一款第一项不宜随意适用
这段时间,各地均采取了非常严格的防控措施,两高也相继出台文件,要求严打防控期间的种种破坏防疫工作的违法行为。我们也看到很多媒体在一些短视频平台或者微博这样的社交媒体上,发布一些破坏社会秩序、以及不服执法人员管控的视频,最终这些人都受到了法律的制裁。 -
04-222020
建设工程项目部印章对合同效力的影响及使用时的注意事项
本文将对盖章行为不规范引起的合同效力问题进行分析,主要讨论盖章主体没有权限以及使用未经备案公章盖章的行为效力。
沪公网安备 31011502009353号